Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: virima en 14 de Diciembre de 2005, 02:33:08 pm
-
El antivirus online de kaspersky., me ha detectado el bicho del asunto. Tengo varios programas anti spyware y el antivirus norton, y no me lo detectan. ¿Tenéis alguna solución para acabar con mi intruso? Gracias!!!
-
Hola:
Escanea con tu antivirus y con tus programas antiispyware, pero deberias hacerlo reinicando el pc en modo seguro o a prueba de fallos, (para ello pulsa F8 repetidamente al reiniciar y seleccionas la opcion modo seguro o a prueba de fallos).
Un saludo
-
Añado un programa, disculpa.
Prueba el programa A2-squared free, tambien en modo seguro.. otras versiones del "troyano" que comentas las tiene en su base de datos. Aqui tienes un manual de instalacion y empleo.
http://www.daboweb.com/index.php?option=com_content&task=view&id=374&Itemid=149
Despues de ello quiza seria conveniente pasases el hijackthis al pc y colocases aqui el log que te dé, a ver que opinan los compañeros.
http://www.daboweb.com/foros/index.php/topic,13633.0.html
Un saludo
-
ahí tenéis la parrafada:
Logfile of HijackThis v1.99.1
Scan saved at 04:18:30 p.m., on 14/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\BlackICE\blackd.exe
C:\Archivos de programa\NavNT\defwatch.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Archivos de programa\NavNT\vptray.exe
C:\ARCHIV~1\GENIUS~1\mouseElf.exe
C:\Archivos de programa\SpyStopper\spystopper.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\VM_STI.EXE
C:\Archivos de programa\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\The Cleaner\tca.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Documents and Settings\virima\Escritorio\WinRAR.exe
C:\DOCUME~1\virima\CONFIG~1\Temp\Rar$EX00.765\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programaAcrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\NavNT\vptray.exe
O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\mouseElf.exe
O4 - HKLM\..\Run: [SpyStopper] C:\Archivos de programa\SpyStopper\spystopper.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VideoCAM Web V3
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\ZoneAlarm\zlclient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnlineX Control) - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133630377328
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4645/mcfscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Archivos de programa\BlackICE\blackd.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\NavNT\defwatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\NavNT\rtvscan.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Archivos de programa\BlackICE\rapapp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
GRACIAS POR VUESTRA AYUDA
-
Pues a la espera de los expertos, te diría que he visto al menos un par de bichos nada buenos, pero en cuanto entre la "brigada de limpieza" te dirán que debes quitar.
Saludos
-
Hola, había un tema con el BlackICE hace tiempo, no sé cómo ha quedado, pero lo dejaba mal parado. El tema estaba en la web de Steve Gibson, http://grc.com , específicamente hay un test para probar el BlackICE en http://grc.com/lt/leaktest.htm , aunque creo que ya no lo tenés instalado y sí el ZoneAlarm. Si tenés los dos, eliminá el BlackICE, dos firewalls no solo no son más defensa sino que pueden interferirse mutuamente.
Concentrándonos en el log, hacé lo siguiente: extraé el HijackThis a una carpeta (por ejemplo C:\HijackThis), no lo uses desde el archivo comprimido porque el HT realiza backups y los coloca en el directorio donde se encuentre; si está dentro de un archivo comprimido no puede hacerlo, por más que se lo descomprima al temporal, como en este caso. Una vez hecho eso reiniciá la máquina en modo seguro ( F8 ), abrí el HijackThis, apretá el segundo botón y marcá SÓLO las siguientes entradas:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnlineX Control) - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
Luego apretá Fix checked, reiniciá la máquina en modo seguro nuevamente, generá un nuevo log de HijackThis y publicalo aquí mismo, junto a tus impresiones sobre cómo anda todo.
-
Agrego que no encuentro al keylogger en el log. ¿Alguien lo ve? :what:
-
Bueno, pues dicho y hecho. Este es el nuevo informe después de las instrucciones:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\NavNT\defwatch.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Archivos de programa\NavNT\vptray.exe
C:\ARCHIV~1\GENIUS~1\mouseElf.exe
C:\Archivos de programa\SpyStopper\spystopper.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\VM_STI.EXE
C:\Archivos de programa\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programaAcrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\NavNT\vptray.exe
O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\mouseElf.exe
O4 - HKLM\..\Run: [SpyStopper] C:\Archivos de programa\SpyStopper\spystopper.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VideoCAM Web V3
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\ZoneAlarm\zlclient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133630377328
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4645/mcfscan.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\NavNT\defwatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\NavNT\rtvscan.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
Me comentabáis que no veiáis rastro del keylogger, los programas antispyware que tengo tampoco (y los paso en modo seguro). El karspersky online me dice esto:
C:\WINDOWS\serial.dll Infected: Trojan-Spy.Win32.KeyLogger.es
No sé si es una paronoia de este antivirus o es que el resto programas, antivirus online, etc, no son muy competentes....
En fin, yo me pongo en vuestras manos :victory:. Gracias de nuevo.
-
Vamos a hacer un par de cosas:
1- Encontrá el archivo C:\WINDOWS\serial.dll y hacele un click derecho. Ahí, en Propiedades te van a aparecer varias pestañas. Fijate en la que diga Versión de quién es el archivo. Por ejemplo, el archivo C:\WINDOWS\sdkinst.dll en mi máquina dice que es de Microsoft:
SDK Update ActiveX Control
© Microsoft Corporation. All rights reserved.
Eso nos dará alguna idea. Por favor contanos qué dice.
2- Si tenés WinZip hacé un click derecho sobre el archivo, luego en WinZip y luego en Add to serial.zip o el equivalente en español para crear un archivo zipeado. Enviámelo por mail a (sin los espacios) fatsgordon @ yahoo.com.ar que lo voy a analizar.
Espero tus respuestas.
-
Antes de revisar con los "antimalware" DESHABILITA el "Restaurar el sistema", actualízalos, reinicia en Modo seguro y haz la revisión...
-
Tipo de archivo: extensión de aplicación
Se abre con: aplicación desconocida
Versión del archivo: 1.0.0.1
Descripción: Keylog dll
Tiene mala pinta!!! :unhappy: éste está en c:\windows.
Después tengo otro en c:\windows\serial.zip, aquí el antivirus no me detecta nada.
Espero ansioso tus noticias. :cry:
-
Hacé como dice Mr_X, y enviame ambos archivos, el .dll comprimilo como Keylog.zip y el otro mandalo así como está (serial.zip) a la cuenta de mail que te dije.
De cualquier modo entrá en modo seguro y eliminá el serial.dll. Si no podés hacerlo decime que usamos otra vía.
De cualquier forma es importante que limpies TODOS los temporales de tu máquina y que deshabilites Restaurar sistema y lo vuelvas a habilitar DESPUÉS de eliminado el archivo, así en el nuevo punto de restauración no existe más.
-
No sabes cómo te agradezco tu ayuda y afortunadamente ya está solucionado. Finalmente "he cortado por lo sano" y he desinstalado mi viejo norton antivirus, que aunque actualizado era algo miope. (Hay que decir que el bitdefender y panda antivirus online tampoco lo detectaban.....).
He instalado el kaspersky, espero que me de buenos resultados, y me ha eliminado tres archivos infectados por el maldito troyano.
En fin, lo dicho, te agradezco tu interés y hasta la próxima. :victory:
-
Un pequeño detalle.
Este tipos de keyloggers sólo se pueden instalar si se tiene acceso al ordenador de forma directa (o a través de un troyano).
Así que sería conveniente que cambiases todas tus contraseñas para evitar que puedan suplantar tu identidad (además, siendo un keylogger lo más probable es que sea un conocido el que lo haya puesto).
-
(además, siendo un keylogger lo más probable es que sea un conocido el que lo haya puesto).
[/quote]
¿un conocido? Aquí ya si que me pierdo. A mi ordenador sólo tengo acceso yo.
Una pregunta al aire ¿cuál es la forma más habitual de propagación de los troyanos? ¿email, p2p, software gratuito, msn?
Efectivamente creo que es serio el tema de las contraseñas, y ya he cambiado casi todas, aunque siempre te queda la duda de si no tendrás alguno keylogger más por ahí instalado, porque he observado que aún teniendo varios programas anti-spyware o antitroyanos nunca se está del todo seguro .... Sin duda es un problema muy importante para las compras por internet y personalmente se me han quitado todas las ganas de realizar alguna.
-
La forma más común de introducir un keylogger de esos es por mail , en los P2P no hay tanta cosa ... por lo menos fuera de la red Kazaa ... msn ....bueno , decir msn y decir mail es más o menos lo mismo , hotmail es la mejor red difusora de virus.
software gratuito
No te fies del demonio , tienes las mismas opciones de que te cuelen algo en un programa de pago como en uno free ... con una diferencia , del programa de pago no te lo esperas ;-)
El mejor antivirus es el sentido común , no abrir mails de desconocidos , no aceptar a gente que no conoces en el Messenger , no dar datos personales a no ser que tengas mucha confianza con una persona ( y si me apuras mucho , tampoco ) ...etc , etc ....
Lo bueno es que cuando nos pasa algo de esto aprendemos un poco más a mejorar nuestra seguridad porque nos volvemos un poco más desconfiados :)
-
Un detalle, un conocido es alguien que te conoce, y no siempre alguién que tu conozcas.
Los keylogger guardan los datos en el disco duro (generalmente) por ello es muy probable que aparte de el keylogger tengas un troyano.
Sinceramente, la única forma de que no te metan virus es no meterle nada a tu ordenador, pero si haces eso, no puedes jugar, navegar...